La souveraineté numérique est-elle possible ?

[Desty-N]

Un autre point de vue sur le sujet 

Citation

« Sortir de l'illusion de la souveraineté de l'IA »

Plus les États et les entreprises investissent pour bâtir leur propre IA, plus ils renforcent leur dépendance structurelle envers une poignée de fournisseurs étrangers pour les puces (GPU), le cloud et les modèles de fondation. Dès lors, la question stratégique est celle de la maîtrise des dépendances critiques et de la capacité à continuer d’opérer en cas de rupture. Par Arno Pons, délégué général du Digital New Deal. (…)

Publié le 26/01/26 à 10:52 - Mis à jour le 26/01/26 à 11:33

https://www.latribune.fr/article/idees/27873412502249/opinion-sortir-de-lillusion-de-la-souverainete-de-lia

Révélation

En ce début d’année 2026, il est temps de regarder la réalité en face : la « souveraineté de l’IA », telle qu’elle est promise dans les discours politiques depuis cinq ans, est largement illusoire. Notre dernier rapport, The Dependency Economy of AI, réalisé par l’expert Singapourien Damien Kopp, analyse 25 stratégies nationales pour dresser un constat sans appel : la quête d’autonomie se construit aujourd’hui sur des technologies d’emprunt.

Nous sommes entrés dans l’ère du « paradoxe de la souveraineté ». Plus les États et les entreprises investissent pour bâtir leur propre IA, plus ils renforcent leur dépendance structurelle envers une poignée de fournisseurs étrangers pour les puces (GPU), le cloud et les modèles de fondation.

L’IA n’est plus une simple technologie, c’est une « chaîne d’approvisionnement géopolitique » comparable à l’énergie, structurée autour de quelques goulets d’étranglement critiques. Chaque maillon est concentré, territorialisé, juridiquement encadré, et donc potentiellement instrumentalisable. Dès lors, la question stratégique n’est plus celle de la possession, mais celle de la maîtrise des dépendances critiques et de la capacité à continuer d’opérer en cas de rupture.

La carte mondiale des dépendances

L'analyse comparative de 25 pays révèle que seuls les États-Unis et la Chine s'approchent d'une souveraineté « Full-Stack » (matériel, cloud, modèles, données). Pour le reste du monde, la réalité est celle d'une gestion de la dépendance à travers quatre grands archétypes:

Le modèle du partenariat (ex: Émirats Arabes Unis, Royaume-Uni, Australie) : ces pays privilégient la vitesse. Ils acceptent une dépendance technologique totale aux géants américains en échange d'un accès immédiat aux capacités de pointe.

La souveraineté réglementaire (ex: France, Canada, Allemagne) :c'est la voie européenne. Nous tentons de contrôler par la loi (AI Act, RGPD) une infrastructure que nous ne possédons pas. C'est un levier de confiance puissant, mais qui ne résout pas la dépendance aux puces et aux infrastructures cloud étrangères.

La souveraineté « Full-stack / hybride » (ex: USA, Chine, Corée du Sud, Japon) : ces nations investissent massivement dans le « dur » (usines de semi-conducteurs, capacité de calcul nationale) pour réduire leur dépendance à moyen terme.

Le modèle « Open-Yet-Local » (ex: Inde, Brésil, Singapour) : faute de pouvoir rivaliser sur le hardware, ces pays misent sur l'inclusion linguistique et le contrôle des cas d'usage locaux, utilisant des infrastructures étrangères mais gardant la main sur la couche culturelle et applicative.

Aucun de ces modèles n’échappe totalement à la dépendance. Mais certains la gèrent stratégiquement, quand d’autres la subissent. Le paradoxe est clair : plus un pays cherche à déployer rapidement de l’IA, plus il renforce parfois les dépendances qu’il prétend réduire.

L’Europe, phare d’une « Troisième voie numérique »

L'Europe excelle dans l'archétype réglementaire. La France, par exemple, combine une doctrine de cloud de confiance et un écosystème de modèles ouverts (comme Mistral) très dynamique. Mais ne nous y trompons pas : nos modèles « souverains » s'entraînent encore majoritairement sur des GPU importés.

Le rapport souligne que la stratégie européenne ne doit pas chercher l'autarcie technologique, qui est impossible, mais la résilience opérationnelle. L’Europe doit adopter une « Troisième Voie » en fusionnant sa

puissance réglementaire avec l’approche pragmatique de l’« Open-Yet-Local ». Cela signifie qu'au lieu de s'épuiser à vouloir tout posséder, nous devons nous concentrer sur ce qui compte vraiment : le contrôle des données stratégiques, la maîtrise des cas d'usage critiques, et l'indépendance des modèles via l'Open Source.

Pour les entreprises : de la conformité à la résilience

Pour les dirigeants d'entreprise, ce rapport est un signal d'alarme. L'IA ne doit plus être traitée comme un sujet IT, mais comme un risque de continuité d'activité, au même titre que l'énergie ou les chaînes logistiques : qu'arrive-t-il à votre entreprise si une mise à jour des sanctions américaines vous coupe l'accès à vos API ? Si une crise énergétique rationne l'accès aux Data Centers ? Ou si un modèle propriétaire change ses conditions d'utilisation du jour au lendemain ?

La réponse passe par un changement de posture : rendre les dépendances visibles et mesurables, diversifier les fournisseurs, concevoir des architectures réversibles, et élever la gouvernance de l’IA au niveau des conseils d’administration. C’est précisément l’objectif de l’Indice de Résilience Numérique (IRN), qui permet aux entreprises d’auditer leurs systèmes selon huit piliers de dépendance (du hardware à la gouvernance des données). L’enjeu est clair : disposer d’une vision consolidée pour gouverner ses résiliences, maitriser ses interdépendances, et maintenir ses opérations même en cas de choc géopolitique.

De la règle au standard : le tournant stratégique européen

La stratégie européenne ne progressera ni par la surenchère budgétaire ni par l’autarcie technologique, mais par sa capacité à faire de la résilience un véritable instrument de structuration des marchés. En imposant l’interopérabilité, la réversibilité, la traçabilité et la mesurabilité, l’Europe peut passer d’une souveraineté fondée sur la règle à une autonomie stratégique fondée sur les standards.

Le véritable tournant se jouera dans cette faculté à convertir le pouvoir normatif en standards opérationnels, à l’image de ce que la Chine met aujourd’hui en œuvre, et de ce que l’Europe a su accomplir avec succès dans des secteurs structurants comme les télécoms. L’Europe n’avait pas “tout” (puces, terminaux) face aux géants comme Motorola, mais elle avait su structurer le marché avec le GSM, standard qui réussit à couvrir 90 % de la population mondiale à travers plus de 200 pays… L’IA, et bien évidemment son corollaire la data, prochaines batailles des standards européens ?

Assez intéressant et plus nuancé que le titre ne le laisse croire. Si je devais retenir une phrase : Le véritable tournant se jouera dans cette faculté à convertir le pouvoir normatif en standards opérationnels.

[Desty-N]

Il n’y a pas que le Parlement Européen qui s’intéresse au sujet: 

Citation

Il y a des rendez-vous qui en disent plus long que les discours. Hier, à Bercy, se tenaient les très sérieuses "Rencontres de la souveraineté numérique".

Au programme: le lancement d'un Observatoire de la souveraineté numérique et d'un indice de résilience numérique. Un nouvel empilement d’outils administratifs censés conjurer notre dépendance technologique.

Il ne manquait plus qu’un Grenelle et un Haut Comité pour boucler la panoplie!

La palme revient sans doute à l’annonce du ministre de la Fonction publique, David Amiel: le développement d’un logiciel public de visioconférence pour remplacer Teams ou Zoom dans l’administration. Une visio souveraine en quelques sortes, made in État.

On imagine déjà l’effroi. Jeff Bezos (Amazon), Satya Nadella (Microsoft) et Sundar Pichai (Google) doivent trembler. La direction interministérielle du numérique (DINUM), arrive.

La scène a quelque chose de délicieusement suranné. Un parfum de planification à l’ancienne. Une illusion très française: croire que l’on comblera un retard industriel par circulaire.

Vrai problème

Pourtant, le diagnostic est juste.

Oui, la dépendance technologique est massive. Aujourd’hui, près de 80% des dépenses européennes en logiciels et en cloud partent aux États-Unis. C'est près de 300 milliards d’euros par an.

Une dépendance économique, technologique… et juridique, avec en arrière-plan l’extraterritorialité du droit américain. Mais le remède est mal choisi.

La souveraineté numérique ne se décrète pas. Elle ne se lance pas depuis un ministère. Et elle ne se code pas à coups de lignes écrites par quelques agents publics, aussi compétents soient-ils.

À Bercy, un message a fait mouche. Celui de Michel Paulin, ancien patron d’OVHcloud, venu rappeler une évidence hier: penser qu’une solution administrative peut rivaliser avec Microsoft relève de l’illusion. La salle a applaudi.

Confusion des rôles

Le problème, au fond, n’est pas l’ambition. C’est la confusion des rôles.

Le rôle de l’État n’est pas de produire des services numériques. Ce n’est pas d’écrire du code. C’est de fixer des règles claires, de sécuriser la demande, d’orienter la commande publique, et d’aider les acteurs européens à changer d’échelle.

La souveraineté numérique ne naîtra pas d’un logiciel public de plus. Elle viendra d’entreprises européennes solides, soutenues dans la durée, et d’un État qui accepte enfin de faire ce qu’il sait le mieux faire : arbitrer, structurer, protéger.

Bref, moins de visios ministérielles. Et un peu plus de stratégie industrielle.

https://www.bfmtv.com/economie/edito-l-etat-veut-lancer-son-propre-logiciel-de-visioconference-pour-remplacer-teams-ou-zoom-tremblez-microsoft-amazon-et-google_AN-202601270317.html

Je suis plutôt d’accord avec cette phrase : Le rôle de l’État n’est pas de produire des services numériques. Ce n’est pas d’écrire du code. C’est de fixer des règles claires, de sécuriser la demande, d’orienter la commande publique, et d’aider les acteurs européens à changer d’échelle.

C’est pour ça que la démarche SecNum Cloud me paraît plus pertinente, avec sa grille de critères et ses audits des entreprises demandant le statut. Il faudrait même penser à l’étendre aux logiciels et aux télécoms.

Révélation

Voire à certaines armes bourrées de technologies numériques, si gentiment vendues par des pays bienveillants comme celui de l’Oncle Sam (coucou le F-35 )

Mais il faut rester positif : on a au moins un ministre qui s’intéresse au sujet. Il n’a plus qu’à se montrer pragmatique 

[Desty-N]

Et un article de plus sur le sujet 

Citation

 

Les ambitions de Donald Trump sur le Groenland ont injecté une dose d’urgence dans les réflexions européennes sur l’autonomie stratégique du Vieux Continent. Que passerait-il si demain les Etats-Unis utilisaient le numérique comme levier de pression en coupant l’accès de l’Europe aux technologies américaines dont dépend son économie, du cloud aux logiciels, des systèmes de paiement à la cybersécurité ? 

L’économie numérique européenne repose aujourd’hui sur un équilibre fragile, largement conditionné par l’accès à des technologies et à des services majoritairement contrôlés par des acteurs américains. 

Tant que ces flux restent ouverts, tout fonctionne : les entreprises produisent, les administrations assurent leurs missions, les hôpitaux soignent, les données circulent. Or, celui qui contrôle l’accès aux infrastructures, du matériel aux logiciels en passant par les plateformes numériques essentielles, détient un pouvoir direct sur la continuité même de l’activité économique européenne.

L’UE fortement dépendante des Etats-Unis et de la Chine

C’est précisément ce que le Parlement européen reconnaît de façon explicite dans sa résolution du 22 janvier dernier sur la souveraineté technologique et les infrastructures numériques. Le constat est connu mais alarmant : l’Union européenne dépend de pays tiers pour plus de 80% de ses produits, services, infrastructures et propriétés intellectuelles. 

Ce chiffre n’est pas un indicateur économique parmi d’autres. C’est un marqueur de vulnérabilité systémique. Il signifie que la continuité de l’économie européenne repose sur des chaînes qu’elle ne maîtrise pas totalement, voire pas du tout. 

L’inquiétude monte autour du comportement de Donald Trump

Cette situation prend un tournant dramatique avec le retour de Donald Trump au centre du jeu international. En quelques semaines, ses prises de position sur le Groenland ont rappelé que la coercition géographique n’est plus un tabou. Ces pressions ne s’arrêtent plus aux Etats considérés comme hostiles. Elles s’appliquent désormais à des partenaires historiques. 

Or, si un territoire peut devenir un objet de pression stratégique, pourquoi une infrastructure critique, un service de cloud, un logiciel de messagerie ou cybersécurité ne le deviendrait-il pas à son tour. 

Le scénario cauchemar de la coupure

La crainte tient au fait qu’aux Etats-Unis, un simple décret présidentiel pourrait suffire à interdire aux entreprises américaines de fournir des produits et des services à l’Union européenne. Ce qui provoquerait une rupture brutale de continuité dans une économie largement organisée autour du SaaS et du cloud. 

Aujourd’hui, 80% des dépenses européennes en logiciels et en services cloud à usage professionnel sont réalisées auprès d’entreprises américaines, ce qui représente un volume de 284 milliards d’euros par an. Ces flux économiques correspondent à près de 2 millions d’emplois directs, indirects et induits aux États-Unis. 

Dans ce cadre, le risque n’est plus théorique. Une telle décision ne toucherait pas un secteur isolé, mais l’ensemble de l’architecture numérique européenne. Du jour au lendemain, ce sont plusieurs couches vitales qui pourraient être affectées simultanément. Pour comprendre l’ampleur de la vulnérabilité, il faut examiner, une à une, les briques sur lesquelles repose aujourd’hui l’économie numérique de l’Europe et mesurer ce que provoquerait leur mise sous contrainte.

L’Europe absente du matériel informatique

Le hardware est le premier point majeur de fragilité. L’Europe représente moins de 10% de la production mondiale de semi-conducteurs, très loin derrière l’Asie et les États-Unis. Sur les métaux critiques indispensables à l’électronique, le constat est identique. La Chine concentre près de 70% de l’extraction mondiale.

Pour certains matériaux clés comme le cobalt, essentiel aux batteries et à certaines puces, plus de 70% de la production provient de la République démocratique du Congo. Même le lithium, devenu “l’or blanc” de l’économie numérique, est majoritairement extrait en Australie et en Amérique du Sud. 

Et cette dépendance ne s’arrête pas aux matières premières. Leur raffinage est quasi intégralement réalisé en Chine, tandis que les usines capables de produire les puces les plus avancées, indispensables notamment à l’intelligence artificielle, sont concentrées à Taïwan, aux Etats-Unis et en Corée du Sud. Autrement dit, avant même de parler de cloud ou de logiciels, l’Europe dépend déjà de chaînes industrielles sur lesquelles elle n’exerce qu’un contrôle marginal. 

Dans un scénario de restrictions décidées par Washington sur l’exportation de semi-conducteurs, d’équipements réseau ou de composants critiques, ce sont directement les capacités européennes à faire fonctionner ses data centers, ses réseaux télécoms et ses infrastructures numériques qui seraient affectées. 

Le SaaS, la dépendance qui peut tout arrêter

Puis vient le software où le constat est identique : sans les services américains, l’économie européenne ne pourra pas fonctionner. Aujourd’hui, le logiciel n’est plus acheté, il est loué. La mode est au Software-as-a-service : les organisations possèdent un droit d’accès temporaire à une plateforme distante. 

Auparavant, une entreprise achetait une licence et installait un logiciel sur ses serveurs et postes clients. Tant que le matériel fonctionnait, le logiciel continuait de tourner. Même si l’éditeur faisait faillite, même si les relations commerciales se dégradaient, l’infrastructure restait opérationnelle. Ce modèle bien qu’imparfait, parfois dangereux pour la sécurité, laissait un espace d’autonomie. 

Avec le Software-as-a-Service (SaaS), cette autonomie disparaît. Le droit d’utiliser le logiciel est révocable. L’exécution se fait souvent sur les serveurs de l’éditeur, via une interface web. Et dans une économie massivement organisée autour de ce paradigme SaaS, un arrêt de service ne provoque pas une gêne mais l’impossibilité totale de travailler. Gestion commerciale, comptabilité, ressources humaines, relation client, sécurité informatique, supervision industrielle... toute la chaîne est touchée dans tous les secteurs de l’économie. 

Suites bureautiques, CRM, virtualisation...

Les suites bureautiques en sont l’exemple le plus visible. Microsoft 365 est l’ossature numérique de milliers d’organisations, pour la messagerie, les documents, les agendas, la collaboration et même la sécurité. Sa principale alternative ? Google Workspace. Dans les deux cas, l’éditeur aurait les moyens techniques de couper l’accès à ses produits à une grande partie de ses clients européens si le gouvernement américain le forçait à le faire.

La même logique s’applique aux outils métiers. Salesforce domine largement le marché du CRM en Europe et structure la gestion commerciale de milliers d’entreprises, de la prospection à la facturation. ServiceNow est devenu central dans la gestion des processus IT, des tickets, de la conformité et des workflows internes. Adobe contrôle la chaîne graphique et documentaire avec Acrobat, Photoshop, InDesign et les outils de signature électronique. Oracle reste omniprésent dans les bases de données critiques et les systèmes financiers.

À ces briques s’ajoutent les plateformes de développement et d’infrastructure logicielle. GitHub, propriété de Microsoft, est au cœur de la quasi-totalité de l’écosystème de développement européen. Docker, Kubernetes, souvent distribués via des acteurs américains, structurent l’orchestration des applications. HashiCorp pour l’automatisation, VMware pour la virtualisation, Snowflake pour l’analytique, Datadog pour la supervision, CrowdStrike, Fortinet ou Palo Alto Networks pour la cybersécurité complètent cette dépendance.

Les hyperscalers américains dominent le marché du cloud

Dans le scénario d’un décret américain interdisant la fourniture de services à l’Europe, cette coupure toucherait le coeur même de la capacité de produire et de travailler : plus de messagerie professionnelle, plus d’outils de collaboration, plus de CRM pour suivre l’activité commerciale, plus de plateformes pour gérer les infrastructures informatiques, plus de chaînes logicielles pour développer, déployer et sécuriser les applications.

Cette dépendance logicielle est aggravée par une dépendance des infrastructures. Là où SaaS a remplacé les licences perpétuelles, le cloud a remplacé les serveurs possédés en propre. Et aujourd’hui, près de 70% du marché européen du cloud est capté par trois acteurs américains : Amazon Web Services (AWS), Microsoft Azure et Google Cloud. 

Le cloud n’est pas un simple hébergement. Il est devenu l’usine numérique de l’économie européenne. C’est là que tournent les systèmes d’information, que sont stockées les bases de données, que s’exécutent les calculs, que se déploient les applications, que sont gérées les identités et que sont centralisées les briques de sécurité. Une restriction d’accès au services de cloud publics américains ne provoquerait pas un ralentissement progressif. Elle créerait un choc systémique immédiat. 

Pour le paiement, il n’y a pas de réelle alternative à Visa et Mastercard

Pour parachever tout ça, dans le secteur des paiements, la dépendance à Visa et Mastercard est ancrée dans les pratiques. Les alternatives, tels que Wero et l’euro numérique, restent encore au stade de projets, dont l’avancée est laborieuse et peu encourageante à l’heure actuelle. Couper l’Europe de ces réseaux de paiement équivaudrait à paralyser une majorité de commerçants.

Le Parlement appelle à un sursaut

C’est dans le contexte que le Parlement européen appelle à un “Cloud and AI Development Act”, c’est-à-dire un texte législatif qui traiterait ces deux domaines non pas comme de simples marchés numériques mais comme des infrastructures stratégiques à part entière. 

L’objectif est de doter l’UE d’un cadre industriel, financier et politique permettant de développer ses propres capacités de calcul, de stockage, de traitement de données et d’entraînements des modèles d’IA. Mieux vaut tard que jamais.

Le texte reconnaît que le retard européen n’est pas seulement technologique, mais structurel. Ainsi, à travers l’appel à un Cloud and AI Development Act, le Parlement reconnaît que la souveraineté numérique passe par la construction de capacités industrielles propres, et non par la seule conformité réglementaire. L’enjeu n’est plus seulement de mieux encadrer les acteurs existants, mais de permettre l’émergence d’infrastructures européennes capables de rivaliser en puissance et en échelle. 

Une dépendance réciproque, un rapport de force profondément asymétrique

Mais cette stratégie de rattrapage industriel est-elle réellement possible pour l’Europe ? La résolution du Parlement peut dessiner une ambition mais elle se heurte à une réalité matérielle. L’Europe ne possède ni les moyens technologiques, ni industriels, ni économiques de le faire actuellement. L’ambition est donc louable, mais irréalisable à court terme.

Il y a bien une lueur d’espoir, qui réside dans l’intérêt économique des entreprises américaines. L’Europe représente l’un des principaux débouchés mondiaux pour les services numériques américains. Les 264 milliards d’euros dépensés chaque année financent directement l’innovation, les investissements et l’emploi outre Atlantique. Une coupure brutale aurait donc aussi un coût considérable pour l’économie américaine.

C’est ce caractère mutuel, mais profondément asymétrique, de la dépendance qui structure aujourd’hui l’équation géopolitique.

https://www.usine-digitale.fr/souverainete/souverainete-numerique-leurope-confrontee-a-sa-dependance-technologique-aux-etats-unis-alors-que-son-economie-est-a-la-merci-de-washington.I763644BR5AUTC7JKGHG3BEYN4.html

L’article est assez exhaustif, mais il n’évoque même pas SecNumCloud et la méthode de certification française.

EDIT : peut être l’article le plus interessant que j’ai lu récemment sur le sujet 

Citation

Annoncé en 2025, l’Indice de résilience numérique entre dans sa phase opérationnelle. Sur le même modèle que le label environnemental B Corp, il promet de mesurer concrètement la capacité des organisations à maîtriser leurs dépendances numériques critiques. L’Usine Digitale a pu échanger avec les porteurs de ce projet ambitieux. 

C’est à Bercy, le 26 janvier 2026, que l’Indice de résilience numérique - ou IRN - a été officiellement lancé, sous l’égide du ministère de l’Economie et des Finances et le ministère de l’Intelligence artificielle et du Numérique. 

Piloter les dépendances numériques critiques

L’initiative marque une nouvelle étape dans la volonté de doter les entreprises et les administrations d’un outil opérationnel pour comprendre, mesurer et piloter leurs dépendances numériques critiques. 

L’Indice de résilience numérique est porté par l’association à but non lucratif Digital Resilience Initiative, qui évoluera vers un statut d’association internationale sans but lucratif (AISBL) afin d’accompagner son déploiement européen et international. Sa présidence d’honneur est assurée par Olivier Sichel, actuel directeur général de la Caisse des Dépôts, le bras financier de l’Etat. 

Une initiative publique-privée

Le projet repose sur un trio de cofondateurs : David Djaïz, CEO d’Ascend Partners, cabinet de conseil spécialisé dans la transformation numérique, Yann Lechelle, ancien CEO de Scaleway et à la tête de Probabl, spin-off d’Inria, ainsi que Arno Pons, délégué général du think tank Digital New Deal spécialisé dans les enjeux autour de la souveraineté numérique. 

A leurs côtés, l’IRN s’inscrit dans une alliance public-privé réunissant notamment la Caisse des Dépôts, la Direction interministérielle du numérique (Dinum), le Cigref, Docaposte (filiale du numérique du groupe La Poste), RTE, Numeum ainsi que le Comité stratégique de filière “Solutions numériques de confiance”. 

Résilience plutôt que souveraineté

Le choix même du terme “résilience” est central dans la philosophie du projet. Interrogé par L’Usine Digitale, Arno Pons explique que la notion de “souveraineté” a une forte connotation politique et n’est pas opérationnelle pour les entreprises. 

“La souveraineté, c’est un sujet politique, lâche-t-il. Pour une entreprise internationale, elle n’a pas de sens unique : elle est confrontée à plusieurs souverainetés en même temps. En revanche, la résilience, c’est concret : c’est la gestion de ses dépendances et de ses interdépendances.”

Il compare le numérique à une chaîne de valeur énergétique : comme pour l’électricité ou le gaz, une entreprise ne peut plus dépendre d’une seule source, ni subir sans visibilité la hausse des prix, les coupures potentielles ou les décisions de politique étrangère. Les menaces de Donald Trump de ces dernières semaines en sont une triste illustration. 

“Le numérique est devenu une infrastructure vitale, comme l’énergie. La question, ce n’est plus ‘est-ce grave d’être dépendant’, c’est ‘quel est mon plan B si demain le robinet se ferme ou si les prix explosent”, explique Arno Pons, citant l’exemple des conséquences du rachat de VMware, spécialiste incontournable de la virtualisation, par Broadcom. 

Proposer un langage commun 

Pour David Djaïz, à la tête d’Ascend Partners, l’Indice répond à un manque structurel : l’absence de langage commun entre les directions IT et les directions générales. “Il n’existe aujourd’hui aucun langage partagé pour piloter stratégiquement le numérique entre les DSI, les COMEX, les directions juridiques ou les directions des risques”, note-t-il. Or, ajoute-t-il, “on ne pilote pas ce qu’on ne mesure pas. Et on ne pilote pas un navire sans boussole”. 

“L’IRN est cette boussole pour la stratégie numérique des entreprises”, résume-t-il. Concrètement, l’Indice repose sur une approche proche de celle de la réglementation Dora dans la finance. L’idée est de partir non pas de l’inventaire technique des systèmes mais “des métiers vitaux” de chaque organisation. 

A partir de ces fonctions critiques, l’outil reconstruit les systèmes numériques et les évalue selon huit grands piliers, regroupés en trois blocs, résume David Djaïz : stratégie et business, sécurité et technologie. 

Le premier prend en compte les dépendances à une juridiction étrangère, le risque de “kill switch”, les clauses contractuelles ainsi que l’exposition aux hausses tarifaires. Le deuxième concerne la sécurité informatique, la continuité opérationnelle et la vulnérabilité environnementale des infrastructures. Enfin, le dernier porte sur la maîtrise des fournisseurs, la compréhension des technologies utilisées, l’explicabilité des modèles d’IA et la gouvernance des données. 

Une notation sur 100 points

Chaque entité est ainsi évaluée sur une vingtaine de critères, notés de 0 à 5, pour un total théorique de 100 points, dans “un esprit proche de la labellisation environnementale B Corp”.

Dès son lancement, l’IRN est publié comme un standard ouvert, sous licence Creative Commons, permettant à toute organisation de réaliser un auto-diagnostic gratuitement. Dans une seconde phase, des cabinets de conseil et d’audit pourront être accrédités par l’association pour conduire des évaluations formelles et délivrer un label “IRN”. 

L’objectif n’est pas de créer une simple note mais un outil de gouvernance. “L’enjeu n’est pas tant la note finale que la capacité pour chaque COMEX de choisir ses combats et de piloter ses priorités de résilience”, insiste David Djaïz. 

Ne pas tomber dans l’anti-américanisme

Les fondateurs de l’IRN insistent sur ce point essentiel : il ne s’agit pas de mener un combat “anti-technologies américaines”. “Il ne s’agit pas de tomber dans l’anti-américanisme de base, note Arno Pons. La vraie question est : ‘quel est mon plan B’.” Selon lui, la dépendance devient un problème uniquement lorsqu’elle est subie et non maîtrisée. 

Ainsi, l’objectif de l’Indice n’est pas de pousser les entreprises coûte que coûte vers des solutions américaines mais de leur donner une vision claire de leurs marges de manoeuvre : savent-elles migrer, diversifier, renégocier, activer des clauses de réversibilité ou articuler plusieurs fournisseurs si nécessaire ? 

“L’autarcie est impossible”

“Nous vivons dans un monde d’interdépendances. L’autarcie est impossible !”, tranche David Djaïz. Dans cette logique, l’IRN ne promeut pas une rupture brutale avec les grands acteurs américains, mais une montée en maturité stratégique : continuer à s’appuyer sur les meilleures technologies disponibles, tout en étant capable d’en mesurer les risques, d’anticiper les scénarios de crise et d’identifier, quand elles existent, des alternatives crédibles ou des combinaisons hybrides. 

Sur l’existence d’alternatives, Arno Pons est catégorique : “l’offre, elle existe” mais “elle n’est pas consolidée”. Autrement dit, face aux suites des hyperscalers, l’écosystème européen reste fragmenté, avec des briques, moins souvent une solution intégrée “one-click”. D’où, selon lui, le rôle clé des intégrateurs/ESN : “comme on n’a pas d’offres consolidées, nous avons besoin de consolidateurs”. 

Une prise de conscience au plus haut niveau

Dans le contexte actuel, marqué par la montée des tensions géopolitiques, la multiplication des crises cyber, la flambée des coûts du cloud et l’arrivée massive de l’IA dans les systèmes d’information, le sujet a clairement changé de statut dans les entreprises. “Pendant dix ans, nous avons prêché dans le désert, aujourd’hui tout le monde a basculé”, constate Arno Pons, qui observe une prise de conscience nette au niveau des directions générales. 

David Djaïz le formule de la façon suivante : demain, on ne pourra plus être dirigeant d’un grand groupe sans “parler IT et IA” comme on parle aujourd’hui finance ou stratégie. 

Devenir un standard du marché

Il reste maintenant à voir si les organisations s’empareront réellement de l’outil et s’il dépassera le stade du bon cadre méthodologique pour devenir un standard du marché. L’enjeu, pour ses concepteurs, est autant du côté des utilisateurs que des offreurs de technologies.

L’IRN doit servir de langage commun, capable de structurer le dialogue entre ceux qui achètent des solutions numériques et ceux qui les conçoivent. David Djaïz le dit très clairement : l’indice doit permettre “un dialogue entre l’IT et la direction générale, mais aussi un dialogue entre l’offre et la demande”, en donnant aux entreprises la capacité de “passer au scanner les offres des éditeurs, des ESN ou des fournisseurs de cloud”.

https://www.usine-digitale.fr/souverainete/souverainete-numerique-etes-vous-pare-pour-resister-a-une-crise-technologique-faites-le-test-de-votre-resilience.CMBKWZRNKJHTJHPWOE4X6RLLYI.html

L’indice de résidence se veut un standard , sous licence Créative Commons. Ça a (un peu) plus de chance de marcher que ces histoires de logiciels pilotés par Bercy.

Modifié mardi à 17:15 par Desty-N

[Desty-N]

Je fais du multiposte, mais il semble que les pouvoirs publics, tant français qu’européens se saisissent du sujet, alors autant lire ce qu’ils ont à raconter :

Citation

Bruxelles vient de dévoiler une nouvelle version de son Cybersecurity Act. Le texte introduit un cadre juridique dédié à la supply chain. Il prévoit des évaluations des risques, l’identification d’actifs critiques et la possibilité de restreindre l’usage de composants issus de fournisseurs jugés à risque. Huawei et ZTE sont en première ligne. 

La Commission européenne a présenté le 20 janvier 2026 un nouveau paquet cybersécurité, dans un contexte d’accroissement des menaces. Le coût mondial de la cybercriminalité a dépassé 9000 milliards d’euros en 2025, plaçant les ransomwares au sommet. Le secteur public, les transports et le numérique sont les trois secteurs les plus touchés. 

Encadrer la supply chain

Si Bruxelles veut dépoussiérer les anciens textes, c’est notamment pour s’intéresser au cadre autour de la chaîne d’approvisionnement. Les attaques sur la supply chain figurent parmi les sept principales menaces cyber, indique la Commission. 

Jusqu’à présent, la sécurité des chaînes d’approvisionnement des technologies de l’information et de la communication (ICT) - l’ensemble des technologies nécessaires au fonctionnement des réseaux, systèmes d’information et services numériques critiques - était abordée secteur par secteur ou de manière indirecte. 

C’est ainsi que la directive NIS 2 impose aux entités essentielles et importantes d’identifier et de gérer les risques liés à leurs fournisseurs. Or, elle ne prévoit pas de mécanisme centralisé d’évaluation au niveau européen. 

La 5G Toolbox - la boîte à outils de l’UE pour la cybersécurité des réseaux 5G - a introduit une approche coordonnée sur les réseaux mobiles mais sous la forme de recommandations politiques sans cadre juridique contraignant. 

Evaluer les risques...

Le nouveau cadre, présenté par la Commission, repose sur trois piliers. Le premier introduit des évaluations de risques coordonnées au niveau de l’UE. L’exécutif européen et les Etats membres pourront lancer des évaluations de risques pour des chaînes d’approvisionnement ICT spécifiques. 

Ces évaluations viseront à identifier les vulnérabilités et les risques, y compris ceux liés à des facteurs non techniques, comme l’environnement juridique ou politique dans lequel opèrent certains fournisseurs. 

... et les actifs clés

Le deuxième pilier concerne l’identification des actifs ICT clés (key ICT assets). A l’issue des analyses, des actifs clés pourront être définis dans les chaînes d’approvisionnement concernées. Il s’agit des composants, équipements ou services jugés critiques pour le fonctionnement des secteurs considérés comme essentiels ou importants, selon la terminologie de NIS 2.

Le troisième pilier repose sur des mesures d’atténuation ciblées. Sur la base des évaluations de risques et de l’identification de ces actifs clés, la Commission européenne pourra proposer des mesures pour réduire les risques. Celles-ci peuvent inclure l’interdiction d’utiliser des composants fournis par des fournisseurs qualifiés de “high-risk suppliers” dans les actifs IT critiques. 

Ces décisions devront s’appuyer sur une analyse de marché et une évaluation de l’impact économique. 

Bruxelles pourra exclure des pays 

Le texte prévoit également un mécanisme qui permet à la Commission européenne de désigner un pays comme présentant “des préoccupations en matière de cybersécurité” pour les chaînes d’approvisionnement ICT. 

L’évaluation ne repose pas uniquement sur des critères mais aussi sur des facteurs non techniques, comme le cadre juridique et institutionnel du pays concerné, tels que l’existence de lois pouvant obliger les entreprises à coopérer avec les autorités, les risques d’ingérence ou encore l’absence de garanties effectives en matière d’Etat de droit. 

Si un pays est ainsi désigné, les entités qui y sont établies ou qui sont contrôlées par ce pays, par ses autorités ou ses ressortissants, peuvent se voir interdire certaines activités dans les chaînes d’approvisionnement ICT critiques. 

Prenons le cas d’un opérateur télécom européen qui utilise des équipements réseau fournis par une entreprise liée à un pays que la Commission a désigné comme présentant des “préoccupations en matière de cybersécurité”. Si ces équipements sont classés comme des “actifs ICT clés”, l’opérateur ne pourra plus en acheter de nouveaux auprès de ce fournisseur. S’il en a déjà en service, il pourra être obligé de les remplacer dans un délai fixé par la Commission. 

Huawei et ZTE dans le viseur

Henna Virkkunen, commissaire européenne à la souveraineté technologique, l’a assumé clairement : après l’échec des recommandations volontaires, l’Union veut passer à une obligation juridique. Jusqu’ici, Bruxelles appelait les États membres à écarter les fournisseurs jugés à risque, comme Huawei ou ZTE, mais sans pouvoir les y contraindre, ce qui a conduit à une application très inégale. 

Le nouveau Cybersecurity Act change cette logique en donnant à la Commission un cadre légal pour identifier les “pays tiers posant des préoccupations en matière de cybersécurité”, lister les entités qui en dépendent et imposer leur exclusion des actifs ICT critiques. 

Ce projet de réglementation intervient dans un contexte international explosif avec des relations particulièrement tendues entre la France et les Etats-Unis. L’occasion pour l’UE d’envoyer un signal : l’accès à ses infrastructures critiques n’est plus uniquement une question de performance technologique, mais de confiance politique et stratégique.

https://www.usine-digitale.fr/cybersecurite/cybersecurity-act-lue-place-la-chaine-dapprovisionnement-au-coeur-de-sa-strategie-de-cybersecurite.MYUNKZIH5FEZHISM62XN77U4EM.html

Je ne vais pas bouder mon plaisir, je suis content que les pouvoirs publics prenne un peu le taureau par les cornes. Par contre, les mesures ne semblent concerner que les équipements telecom. Ça serait bien de s’occuper aussi du Cloud. (Ah, si ils se bougeaient un peu de l’autre côté du Rhin …)

[g4lly]

Il y a 16 heures, Desty-N a dit :

Je fais du multiposte, mais il semble que les pouvoirs publics, tant français qu’européens se saisissent du sujet, alors autant lire ce qu’ils ont à raconter :

Je ne vais pas bouder mon plaisir, je suis content que les pouvoirs publics prenne un peu le taureau par les cornes. Par contre, les mesures ne semblent concerner que les équipements telecom. Ça serait bien de s’occuper aussi du Cloud. (Ah, si ils se bougeaient un peu de l’autre côté du Rhin …)

Azure, AWS, et GCP ont une telle avance sur le sujet que ca semble compliqué. Toutes les boites memes celles avec des données critique - banque et finance par exemple - ont entierement sombré dans le cloud tellement c'est facile et que les prestataire de service n'ont rien à faire qu'à facturer.

En dehors des réseaux de paiement et quelques réseaux d'échange spécialisé interbancaire, tout le reste c'est Azure ou AWS. La discrétion bancaire luxembourgeoise a migré ailleurs que dans les données.

[jean-françois]

Pour travailler dans le domaine des banques centrales européenne, la France a été pendant trés trés longtemps la seule à se poser la question sur le confidentialité des données contenues dans les cloud US.

Depuis cet été où pendant la réunion de tous les dirigeants des banque centrales, le gouvernement US a clairement expliqué la situation, la prise de conscience du sujet est enfin entrée dans la tête de ces dirigeants.

Le gros problème est qu'il n'y a pas ou presque pas d'alternative basée sur des technologies US ( ou chinoises ). De plus, est-ce qu'il y aurait réellement la volonté sur le long terme de faire émerger une ou plusieurs alternatives européennes, j'ai personnellement un doute.

[fraisedesbois]

Cybersecurity Act 2 : Bruxelles sacrifie la souveraineté du cloud européen sur l'autel du marché

ZDnet_27.01.26

La révision du règlement cyber européen exclut les critères de souveraineté dans la délivrance de certifications cloud. Un revers pour la France qui, dans la dernière version du SecNumCloud, offre une immunité aux lois extraterritoriales américaines comme Cloud Act.

Xavier BiseulPublié le 27/01/2026 à 14:38 | Mis à jour le 27/01/2026 à 15:01

Citation

Alors que l’administration Trump multiplie les provocations et les menaces à l’égard de ses (anciens) alliés, la Commission européenne fait preuve d’une surprenante frilosité.  Elle renonce aux critères de souveraineté dans le futur schéma de certification cloud (EUCS). Ce choix expose les entreprises européennes aux lois extraterritoriales américaines, malgré les tensions géopolitiques croissantes.

Le 21 janvier, le Digital Network Act enterrait déjà le « fair share ». Un jour plus tôt, le Cybersecurity Act 2 fermait donc la porte à la souveraineté juridique dans l'EUCS. La deuxième mouture du règlement européen limite le champs d’application aux seuls risques techniques excluant toute immunité contre les lois extraterritoriales, en particulier américaines.

Pour les DSI, l'enjeu est critique. Pour rappel, Cloud Act, Patriot Act ou FISA (Foreign Intelligence Surveillance Act) permettent aux agences de renseignement américaines d’accéder aux données d’individus situés hors des frontières étatsuniennes pour peu qu’elles soient hébergées sur des plateformes de providers américains comme AWS, Microsoft Azure ou Google Cloud. Et ce qu’importe que leurs datacenters soient localisés dans l'Union européenne.

Menace sur le standard SecNumCloud français

C'est un revers majeur pour la France. L'EUCS doit, à terme, remplacer les certifications nationales. Le SecNumCloud (v3.2) offre aujourd'hui une garantie juridique contre l'extraterritorialité. Sans ces critères au niveau européen, la protection des données sensibles des OIV devient floue.

Les hyperscalers américains savourent cette victoire. La CCIA, qui représente entre autre Google et Amazon, se félicite de l'absence de restrictions « discriminatoires ». Elle « salue la décision de la Commission de se concentrer sur les benchmarks de sécurité technique et la certification fondée sur des preuves, plutôt que d’introduire des restrictions discriminatoires de « souveraineté ». »

Le lobby craint toutefois des amendements lors des négociations au Parlement européen mais aussi au Conseil européen. Des députés pourraient réintroduire des critères de préférence européenne. Pour les entreprises, cette incertitude complique la planification des infrastructures cloud à long terme.

Le bannissement des fournisseurs « à haut risque »

À défaut de souveraineté, le Cybersecurity Act 2 cible les risques géopolitiques. Il prévoit de bannir les fournisseurs de pays tiers jugés « à haut risque ». La Commission évoque explicitement les réseaux 5G mais sans mentionner les équipementiers chinois Huawei et ZTE qui sont, de longue date, dans son collimateur.

La Commission veut donc réduire les dépendances stratégiques. La sécurité ne dépend plus seulement du code, mais aussi des risques d'ingérences étrangères. « Dans le paysage géopolitique actuel, la sécurité des chaînes d'approvisionnement n'est plus liée uniquement à la sécurité technique des produits ou des services, mais aussi aux risques que peuvent poser des fournisseurs donnés, en particulier sous la forme de dépendances et d'ingérences étrangères », estime Bruxelles.

Même sur ce point, la CCIA trouve à y redire. Le lobby demande à ce que soit clarifiée la définition de « pays à haut risque ». « Les indicateurs du statut à haut risque doivent être basés sur des facteurs démontrés, tangibles et objectifs ; comme l’ingérence gouvernementale, l’absence de supervision judiciaire efficace ou l’absence d’accords de coopération en matière de sécurité et d’application de la loi. » Au regard du contexte géopolitique, les géants du numérique craignent-ils que les Etats-Unis deviennent un « pays à haut risque » ? /FIN

Et pour ceux ayant un accès au Fig.

https://www.lefigaro.fr/secteur/high-tech/l-europe-assume-de-renoncer-a-la-protection-de-nos-donnees-les-plus-sensibles-la-grande-defaite-de-la-france-face-a-bruxelles-sur-le-cloud-souverain-20260127

 

Ou aux Échos

https://www.lesechos.fr/tech-medias/hightech/cloud-leurope-renonce-a-imposer-des-criteres-de-souverainete-2211928

 

[g4lly]

Cloud : l'Europe renonce à imposer des critères de souveraineté | Les…
4 - 5 minutes

Les Gafam ont de nouveau obtenu gain de cause, cette fois-ci dans le cloud. Alors que les voix appelant à une autonomie technologique vis-à-vis des Etats-Unis se font de plus en plus nombreuses, la Commission européenne s'est de nouveau gardée de franchir le pas dans son dernier texte de loi.

Présenté il y a quelques jours, le Cybersecurity Act 2, une révision du précédent règlement éponyme, donnait ainsi l'occasion au continent d'imposer des critères de souveraineté préalable à la délivrance de certificats EUCS, le cadre régissant les exigences des services de cloud en matière de cybersécurité.

Il n'en fut rien : le nouveau règlement a confirmé la limitation du champ d'application des certificats cyber aux seuls risques techniques. Il exclut ainsi de fait la protection contre les lois extraterritoriales comme le Cloud Act, qui permet aux régulateurs américains d'avoir accès aux données stockées par des fournisseurs de services cloud, quelle que soit leur localisation géographique.
Bras de fer idéologique avec Berlin

Le lobby de la tech américaine, CCIA Europe, s'est immédiatement félicité de cette nouvelle, en appelant à restreindre par ailleurs les futurs amendements aux pays à haut risque, ne disposant pas d'accords de coopération avec l'Union européenne. Une formulation qui vise de manière à peine déguisée à restreindre les limitations futures aux adversaires géopolitiques du continent, à commencer par la Chine.

L'abandon des critères de souveraineté est un revers pour la France, qui militait depuis des mois en coulisses pour inscrire ce principe dans les futures certifications cyber, afin de faire advenir un semblant de « préférence européenne », un mot répété à maintes reprises lors du dernier sommet franco-allemand ayant eu lieu en novembre, à Berlin.
Lire aussi :

« Il y a eu un vrai bras de fer idéologique, notamment entre Paris, qui souhaitait introduire ce critère de souveraineté, et Berlin qui n'était pas particulièrement en faveur d'une discrimination », explique Vincent Lomba, responsable de la cybersécurité des produits chez Alcatel-Lucent Enterprise, et membre du groupe consultatif de l'Enisa, l'Agence de l'Union européenne pour la cybersécurité.

La Commission n'a pourtant pas hésité à sortir le bâton pour bannir définitivement les « fournisseurs à haut risque de pays tiers », notamment les entreprises chinoises ZTE et Huawei, des infrastructures critiques du continent. Mais dans un contexte où plane le spectre de l'administration Trump, nul doute que les régulateurs européens n'ont pas voulu franchir le Rubicon et contrarier l'Oncle Sam.
Domination des hyperscalers américains

Du côté des industriels, ce nouveau renoncement n'est pas une surprise. « Nous ne nous attendions pas à voir le régulateur européen rééquilibrer la balance en notre faveur », confiait laconiquement un dirigeant d'un grand groupe français, à propos du « fair share », le projet de « péage » sur les géants du Web américains, lui aussi enterré récemment par la Commission européenne.
Lire aussi :

Alors que les hyperscalers que sont Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) détiennent une part de marché écrasante, tant au niveau mondial qu'en Europe, le risque de déstabilisation du tissu économique a dû peser dans la balance, malgré l'existence d'alternatives comme OVHcloud.

L'Hexagone intègre déjà ce critère de souveraineté au niveau national, par l'intermédiaire de certifications comme SecNumCloud - appelée aussi « cloud de confiance ». Celle-ci vise à garantir aux clients passant par des solutions disposant de ce label une immunité contre les lois territoriales américaines. « Il est difficile de dire ce qu'il adviendra de ce label SecNumCloud, mais il est toutefois possible qu'il y ait une cohabitation à l'avenir entre celui-ci et une certification européenne harmonisée », prédit Vincent Lomba.